當前，人類已置身于一個“全面監控”的時代，全球化的數據洪流給國家之間原本封閉的疆界和國家安全帶來前所未有的沖擊，國家主權面臨諸多新型威脅與挑戰。從各主權國家相互指責黑客攻擊，到美國“棱鏡門”事件披露而在全球引發的蝴蝶效應，都說明了目前網絡空間的緊張關系。而這種緊張關系在一定程度上反映了網絡空間國家主權的激烈博弈和較量。如何保障網絡主權安全，是主權國家不可推卸的責任，因為安全是國家主權的底線。

　　隨著國家數據主權安全的風險來源日趨多樣、程度加劇，國家數據主權安全制度保障體系的構建已變得不可或缺。如果說在全球數據洪流中筑牢數據邊界是一種被動的自衛措施，那么構建制度保障體系捍衛國家數據主權安全更是一種主動的應對。

　　一、國家數據主權安全的風險來源日趨多樣化

　　隨著網絡技術的發展、網民隊伍的增加和網絡應用的拓寬，網絡已經逐漸超越媒介的功能和定位，成為廣大網民的主要社交方式和生活空間，并造就了一種新型的社會結構形態。在這個場域中，數據權力不再由國家獨有，國家要和數據控制者、犯罪集團、恐怖組織以及個人等網絡行為體共同分享權力。這便是國家數據主權安全風險來源多樣化的原因。

　　1.美國已成他國數據主權安全的首要風險源。

　　美國無疑是網絡空間唯一的超級數據霸主國。事實上，美國借“網絡自由”之名而行“網絡霸權”之實由來已久，其利用數字技術和網絡產業優勢，通過監控全球數據流來監視特定對象，通過輸出意識形態帶偏他國社會思潮。美國所主張的多利益攸關方網絡治理模式，實際上反映了其不愿意改變當前有利于己的格局，從而為延續其對網絡的控制及未來發展爭取更多機會，但因此可能給他國的主權安全帶來威脅，尤其是“棱鏡門”事件披露后，美國以外的國家這種擔憂尤甚。因此，不少國家視美國為威脅其數據主權安全的主要風險源，希望互聯網的治理能夠納入到政府間組織和國際法范疇。

　　2.制定權力法則的數據寡頭是數據主權安全的新型威脅。

　　科技力量成就了諸如谷歌、微軟等一大批超國家實體，它們具有國際化視野、國家量級或超國家量級經濟實力和足夠多的用戶，尤其在高新科技和海量用戶數據方面有強大的支配力，成為數據寡頭。支撐網絡的基礎物理設施和技術規范被私營部門掌控，網民的個人身份信息、在線活動、社交網絡行為等數據都控制在少數數據寡頭手里。其權力往往通過設定用戶格式條款得以實現，實踐中居于弱勢的用戶事實上完全沒有討價還價的余地。

　　世界各國之間秩序的形成與維持從來都不是依賴于道德和權利，其真正內核是權力法則。在數字科技權力法則的左右下，主權國家不僅要應對來自于其他國家的安全挑戰，還必須面對源于數據寡頭的風險。顯而易見，在并未形成有效秩序的網絡空間中，數據寡頭居于數字科技權力法則的頂端，這意味著在數據權利、數據權力未被法定化之前，至少存在兩重威脅：其一，傳統私權利已形成的個體安全感銳減，即當前法律所保護的傳統私權利在網絡空間幾乎失去了作用，我們無法有效通過行使傳統的隱私權、財產權、人格權等來提升與自身相關數據的控制能力，海量個人數據的集成直接威脅到國家數據主權安全；其二，傳統主權所維護的國家安全感銳減，即跨境數據流動極大地沖擊了領土、領海、領空在物理空間所構建的安全區域，主權國家在大數據技術相對薄弱的情況下，無法有效通過行使傳統主權來防御“網絡霸權”入侵。

　　此外，尚處叢林規則時代的網絡空間正成為犯罪集團、恐怖組織、詐騙者、偷竊者和惡意攻擊者的新樂園，數據正成為他們的利器，行惡與遁逃都悄無聲息。其中尤以犯罪集團、恐怖組織對國家主權的威脅為大。網絡犯罪集團及恐怖主義已是各國政府面對的共同問題，嚴厲打擊網絡恐怖主義成為國際社會的共識。雙邊或多邊國際合作機制的完善，對共同防范與應對國家數據主權安全風險十分重要。

　　二、國家數據主權安全的風險類型

　　德國學者烏爾里希·貝克在上個世紀80年代就曾指出：隨著人類技術能力的增長，技術發展的后果變得難以測算，導致了全球性的技術性風險和制度性風險。

　　國家數據主權安全所面臨的技術性風險主要體現在基礎技術難以自主可控。在國家層面，美國政府主導了全球互聯網的基礎技術。互聯網協議地址的空間分配、協議標識符、域名系統、根服務器系統。目前，由互聯網名稱與數字地址分配機構（ICANN）集中管理作為互聯網核心的TCP/IP 協議，具體實施對IP 地址的空間和標識符分配以及域名和根服務等管理。在成立ICANN之前，此類管理職能最初由美國NSI公司和互聯網號碼分配當局（IANA）管理，而后由美國商務部接管，雖然美國政府于2016年10月1日將互聯網域名管理權移交ICANN，但并不意味著ICANN真正擺脫了美國政府的實際控制，畢竟互聯網是典型的技術產物，控制技術才是關鍵。在企業層面，美國企業占據了我國互聯網的產品市場。我們雖然擺脫了谷歌的搜索引擎、Facebook的社交工具等軟件應用，但依然嚴重依賴思科的路由器、IBM的服務器、微軟的操作系統等軟硬件技術。數據作為技術的產物，控制技術便相當于控制了數據，數據被控制就必然面臨潛在的風險。大數據的透明化悖論折射的數據被秘密采集的風險，身份悖論透視的數據主體身份被識別的風險，權力悖論警示的權力傾向數據控制者的風險，無一不是以技術為控制要素。數據資源存儲和分配及其基礎技術由少數超級公司直接控制或由外國政府間接控制，將會因過度集中而形成強大的支配力，足以威脅到國家數據主權安全。

  制度性風險主要發生在政治、經濟、文化、法律等領域。通過武力戰爭造成的制度性風險往往來源于特定的地域范圍，而且很容易被國民所抵觸和反抗，而通過影響社會思潮所帶來的制度性風險卻不容易被感知，況且在全球的任何地方都可以通過網絡實現操控。深度調查報告《數據顛倒世界》指出，英國脫歐、特朗普獲選都與運用基于數據畫像的心理測量密切相關，其折射了如何影響選區的主流思潮。例如，為了讓選民擁護持槍政策倡導者，而針對不同類型的選民分別提供不同的政治訊息：將“搶劫者一只砸窗戶的手”這一畫面展現給神經質型和嚴謹型選民，突出入室搶劫的威脅，暗示政策應該保證公民持槍；將“類似大人帶著孩子站在夕陽下舉槍打野鴨”的場景個性化地推送給親和型觀眾，凸顯槍支在營造親情氛圍方面的重要性。通過心理測量后，進行個性化誘導，實現對個體行為的引導，進而影響社會的主流思潮。這種運用選民個人數據而進行的精準引導和“政治營銷”必須基于樣本齊全的數據，樣本越全，引導效果越好，這意味著，倘若不能提供相應的安全保障，數據越開放，國家安全所面臨的潛在風險越高。實際上，近年來在各國政府推動下，全球數據開放運動蓬勃興起，美國以及一些超國家實體因大數據收集、處理和分析挖掘等方面的優勢而成為其中最大的受益者。當然，發展大數據產業有賴于數據尤其是政府數據的開放共享，但數據安全問題同樣不可忽略，尤其是中國作為一個大數據技術的后發國家，更有必要高度警惕數據開放背后所蘊含的國家主權安全風險。

　　三、構建國家數據主權安全的制度保障體系

　　1.功能定位：維護總體國家安全。

　　國家數據主權安全不同于傳統的領土、領海、領空主權所指向的傳統安全，數據主權指向的是非傳統安全，其特殊之處在于沒有物理空間邊界，在數字社會中所涉及的諸多領域無一不需要數據支撐與表達，這些領域的安全業已被總體國家安全觀所統攝。因而，有必要從主權高度構建一套能夠保護總體國家安全的規則制度體系，即構建“總體國家安全觀下的國家數據主權”，其主要功能是在新風險社會中維護總體國家安全。

　　2.治理原則：以相對主權為尺度。

　　絕對和專屬主權的時代已經過去。與傳統主權的保護思路不同，數據主權更適宜從絕對的競爭走向一定程度的合作，由于數據本身的無形性與流動的全球性，單個國家已經無法憑借一己之力來實現對數據的絕對控制，構建絕對的數據主權實乃“空中樓閣”，以“相對主權理論”作為制度構建的理論指導更符合數據領域的實際情況。為了防范權力的天然擴張性，應當將“相對主權”作為保障數據主權制度的基本原則。在相對主權理論下，法治思維在實現“相對”中的作用就顯得愈發重要。在國內，法治要求主權的“絕對權威”不得凌駕于整體國民之上；在國際上，“法律治理”的共識和國際合作的實踐已然讓國家通過雙邊或多邊條約讓渡一部分主權。反過來，法治作為國家和全球的一個有效治理模式，能夠將“主權”從政治范疇納入到法治軌道。

　　3.權能體系：數據管理權與數據控制權。

　　數據主權是國家主權在網絡空間的核心表現，數據權力可分為數據管理權和數據控制權。前者是對本國數據的傳出、傳入和數據的生成、處理、傳播、利用、交易、儲存等的管理權，以及就數據領域發生糾紛所享有的司法管轄權。后者是指主權國家對本國數據采取保護措施，使本國數據免遭被監視、篡改、偽造、損毀、竊取、泄露等危險的權力，其目標是保障數據的安全性、真實性、完整性和保密性。

　　在美國學者諾頓·朗曾看來，行政領域中最可悲的狀況莫過于機構或項目小組有合法地位、主管同意、法院承認，但卻沒有權力，處于癱瘓狀態。如果不賦予國家（政府）相應的權能，將無法解決在國內治理數據的合法性，對國際管理數據的可控性。數據權能設定應至少考慮兩個維度：在本國之內，主要是通過制定相應的社會規則（行業規則）、法律規則來對本國疆域內的數據領域加以治理；在本國之外，主要是通過協定方式獲取法外治權來管理涉及本國利益的數據。因而，至少應當在數據主權之下設置數據管理權和數據控制權，以保證數據安全。

　　4.規則內核：管制規則兼采禁易規則。

　　在數據保護的“規則菜單”中，支撐數據主權的有兩類規則：一是“數據禁易規則”，即涉及國防軍事、政黨機要、人體基因等危害總體國家安全、人類生命安全的數據，任何人不得實施采集、存儲、處理、使用和交易等數據行為；二是“數據管制規則”，即實施采集、存儲、處理和使用等數據行為必須符合國家相關技術標準或其他法律規定。相應地，支撐數據控制權的是禁易規則，無論數據法益由誰擁有，涉及“數據禁易規則”所涵蓋的數據類型均被禁止移轉；支撐數據管理權的是管制規則，無論數據法益由誰擁有，其數據行為均須符合“數據管制規則”。

　　歐盟在“關于個人數據的處理與保護”中規定了就業領域處理數據的最低標準——“以基因檢測和分析為目的的數據采集應被禁止，且應作為一項原則”，這是適用“禁易規則”的典型；俄羅斯《個人數據保護法》規定了俄羅斯公民個人信息須本地化存儲，便是適用“管制規則”的典型。考慮到盡可能消除“數據孤島”，在數據主權制度的規則內核中，應該以管制規則為主、禁易規則為輔。

　　結語

　　當前，發展數據經濟與保障數據安全同等重要。以美國為首的數據強國，以美國公司谷歌、思科等為代表的科技新貴們已經占據了控制數據的制高點，因而美國并不倡導數據主權和數據權利，反而呼吁網絡自由、數據開放和共享。在復雜的國際形勢下，隨著“數據驅動發展”理念的全球化，我國將大數據的研究和產業化提升到國家戰略高度。然而，我國在不斷推進大數據開放共享的同時，應該清醒地認識到：在缺乏數據科技實力、沒有相應制度保障數據安全的情況下，盲目地開放和共享本國的數據資源，有可能將數據大國的優勢異化為威脅總體國家安全的風險。在發展大數據產業和依法治國的進程中，更應理性正視大數據時代的數據主權安全風險，構建維護總體國家安全的數據主權安全的制度保障體系。

　　（本文系國家社科基金重點項目“云計算知識產權問題與對策研究”[11AZD113]、“云環境下數字學術資源信息安全的法律保障研究”[14AZD076]的階段性成果）（作者：肖冬梅 文禹衡 湘潭大學法學院）